企业在防御网络攻击上，越做越好，MIT Sloan的Stuart Madnick说，但是黑暗网络的黑客仍然保持优势。他解释了原因。

在持续进行的，越来越多的针对世界知名企业的恶意网络攻击中，坏人占据上风。Stuart Madnick说，他是MIT Sloan School，信息技术 的John Norris Maguire教授，并将在MIT Sloan CIO Symposium大会上演讲。Madnick，目前担任MIT Interdisciplinary Consortium for Improving Critical Infrastructure Cybersecurity的主任，解释了黑暗网络的黑客是如何利用技术和信息来获得优势的。

企业在打击网络攻击上做的如何？他们应该已经更强大了。

Stuart Madnick：的确是，人们都认为，我们正在变得更强大。但是，我们没有注意到的是，坏人强大的更快。这就是挑战所在。所以我认为，现实在变好，但是，不幸的是，最坏的也更坏，如果有这样一个词。(实际上，我来自于马萨诸塞州的伍斯特，所以我认为这个词是合适的。)

什么让坏人变得更强大，而好人却跟不上呢？

Madnick：原因之一，这种攻击正在变得商品化，曾经这很罕见——需要计算机科学的博士学位，才能攻击进入系统等等。现在，在黑暗网络中，只需要支付14.95美元就可以购买。黑客提供的工具和技术，已经越来越多、越来越强大，并快速增长。

另一个原因，我在研究中发现，好人不善于信息共享。现在，当Target这样的公司受到攻击时，法律规定他们必须上报，因为个人信息被泄露。所以新闻会报导。但是，如果一个德国钢厂受到攻击，部分系统崩溃，并没有义务公开报告。事实上，即使Bloomberg进行了报导，他们也会否认。

好人保持沉默的原因有很多。他们不想毁坏名声。他们不想鼓励更多入侵者进行模仿。另一方面，坏人在黑暗网络上，有很特别的信息共享安排，这就是为什么坏人比好人强大的更快。

因此，黑暗网络的黑客占据上风。你会认为应该有一个能够轻松共享信息，而不会损害公司声誉，并引入模仿攻击的机制存在。

Madnick：并不是没有这样的尝试。事实上，有大量的企业想要分享。不幸的是，他们非常零散。我不确定我可以公开讨论这些，但是很显然，大型石油公司的确聚在一起，分享信息，但只有那些大型公司参与。他们不会与下一级别的公司共享，因为他们只想将信息保持在一个封闭的团体内。

FBI不与CIA共享信息也是同样的原因，因为他们认为CIA内有内奸，他们会把信息泄露出去。CIA也不想与FBI共享信息，因为他们担心FBI的内奸会把信息泄露出去。

并不是没有人想这样做，但是他们一直担心：‘如果我公开这个信息，公众获得信息后，会对我产生什么不利？’

这有点讽刺。坏人其实喜欢声誉。“我是那个攻击XYZ银行，并偷走数十亿美元的人。”在某种程度上，这是一种炫耀。所以，有很多原因，那些黑暗网络会寻求宣传。

你能举一个例子，关于黑暗网络生态系统中的信息共享网络？

Madnick：我不知道它的名字，但实际上有一个网站，黑客对世界上最讨厌的公司进行排名。你会发现这样的关联：随着你的公司排名上升到顶部，网络攻击的数量上升，因为相当多的人不会因为个人利益或国家利益进行攻击。他们只是喜欢表达自己的愤怒。随着你的公司排名的上升，你会发现这些人在讨论，“Monsanto是一个邪恶的公司。我要给他们一个教训。我要攻击他们。”

我还知道，一些公司实际上在黑暗网络中雇佣他人，进行投票，让他们的排名降低，以减少攻击的数量。

Stuart Madnick：在几年内，将会有超过1000亿个联网设备、物联网。要给1000扇门上锁是一回事；想象一下，要给100万甚至1000亿扇门上锁。所以，攻击对象的数量正在迅速增加。

还有一个问题，将以其他方式威胁我们。一年前，我在休假，我在尼斯大学的汽车遥测团队中工作。他们正在尝试从未做过的事情，比如自动驾驶等等。

我了解到，要完成这些事情极其困难。他们承受着巨大的约束，组件的成本，能量的消耗，空间大小的使用。他们要面对很多极具挑战性的工程问题。如果你有N项优先级事项，那么，网络安全，至少在一年前，就是N+1。他们必须处理的事情实在太多，他们只能说，‘我们只能先关注这些，其它的，以后再操心。’

部分原因是物联网很新，要面对的挑战很多，要把网络安全纳入关注因素非常困难。

因此，物联网安全组件并不是从一开始就构建的，而是之后再添加的？

Madnick：正在慢慢发生变化。但一年前，情况的确如此，我认为这仍然是大部分物联网项目的现状。

我的一位同事是一名顾问。他为一家正在推出某种物联网设备的公司工作。他们正准备推出一个设备，然后他们意识到，这个设备会受到某些类型的网络安全攻击，而他们之前没有考虑到。

他们意识到，他们设计中的计算能力，不允许他们进行软件的修改，使产品更加安全。他们面对一个决定。我们是按计划，在本月发布产品呢，还是重新设计，花费六到八个月的时间，并可能失去市场？

你猜他们做出了什么决定。提示：产品推出了。

你非常重视对于物联网基础设施的攻击。能给我举一个例子吗?

Madnick：土耳其管道爆炸，就是一个例子，当然，土耳其否认这是网络攻击，声称这只是一个故障。但其他分析师指出，这就是一个网络攻击。但有趣的是，这次网络攻击显然是通过最近增加到管道中的安全摄像头发起的。

因此，这一安全摄像头，并没有成为一个安全设备，而是成为接入设备。讽刺的是，攻击者除了引起管道爆炸，据说，他们还抹去了监控录像，并切断了报警系统。有人告诉我，土耳其中央控制人员意识到有爆炸发生，是有人看到四英里之外，天空中有火在燃烧。

我之所以提到这件事，是因为现在的热门单品之一，就是这些互联网安全摄像头，你可以把它们放置在你的屋外，或屋内，用于监视你的宝宝等等。我被告知，这些设备中的50%仍然保留它们的默认密码。

美国政府在保护关键基础设施上，投入足够吗？

Madnick：嗯，从积极的一面来看，你可能已经看到，奥巴马总统最近宣布……对于网络的投入将增加到190亿美元。因此，至少投入的钱越来越多了。

我们担心，投入的方向被误导了，很多人认为只要能够有一个更好的密码系统，所有的问题都能解决。所以他们几乎不关注任何企业，管理，文化上的问题。

与网络安全相关的企业和文化问题，是麻省理工学院重点关注的研究方向，你是其负责人。

Madnick：我们重点关注的是人为元素。各种报告显示，50%到70%的网络攻击都是由内部人员教唆或协助的。更宽泛的来说，如果，作为一个房主，在你购买安全摄像头时，不改变它的密码，我就认为你是网络攻击的一个助力因素。人类的作为或不作为都是目前的主要问题。如果你把钥匙给别人或者放在门垫下面，那给你的门装锁是没有意义的。

这就是为什么，在我们的研究中，我们更关注管理和企业因素，这些被其他人忽略的因素。

比如？

Madnick：让我用几个例子，来回答这个问题。我在麻省理工学院斯隆商学院工作，相邻的建筑在过去的一到两年中，经历了翻新。很长一段时间，外面都有脚手架。如果你在过去的四到五个月内，来过麻省理工学院，你就会看到脚手架上，有一张10英尺*10英尺大小的海报。上面是一个工人的照片，在他的手里，他拿着一张家人的照片。他上面有一个标语，写着，‘我知道为什么安全是很重要的。’言下之意就是，我的家庭需要我。如果我不安全，我受伤了，就会伤害我的家庭。

如果你去一家工厂，最有可能的是，你会看到门上有一个标语，写着，‘距离上次工业事故，已经过去570天了。’你什么时候在计算机机房，门上可以看到一个标语，写着‘距离上次网络攻击，已经过去50毫秒？’

我的解释很长，我们想要创造的，是一个网络安全纪律。

我知道你的关于网络安全的研究是基于一个麻省理工学院的模型，称为STAMP (Systems Theoretic Accident Modeling and Processes)，一种减少和减轻工业事故的方法。

Madnick：是的，STAMP是主要的研究来源。麻省理工学院研究STAMP已经20年了。它被用来分析挑战者号航天飞机爆炸。

STAMP如何应用于网络安全？

Madnick：有几个方面。当你分析很多小型网络攻击，或任何类型的事故，你通常会发现最终原因是人为错误。‘她在桌子上留有一张写有她密码的纸条，’之类的原因。这个问题的原因就是如此。

我们相信，在大多数情况下，人们不会故意想创造工业事故或网络事件。通常，是他们周围的激励制度，企业架构，和企业文化，影响着他们的行为。这是STAMP在网络安全中，首要关注的总体。